Über unsMediaKontaktImpressum
Tobias Glemser 10. April 2018

Penetrationstests in Großunternehmen

Penetrationstests, also Angriffssimulationen, sind in vielen Unternehmen mittlerweile Standard. Je nach Unternehmensgröße werden dabei jährlich einer bis mehrere hundert Penetrationstests oder penetrationstestlastige "Assessments" durchgeführt. Ab einem gewissen Projektvolumen ist die Organisation und Koordination der Prüfungen entscheidend, um sinnvolle, vergleichbare und belastbare Testergebnisse zu erreichen. Damit die Effizienz bei allen Beteiligten nicht auf der Strecke bleibt, ist eine Gesamtstrategie notwendig.

Ausgangslage

Die Empfehlungen im Folgenden sind in erster Linie auf Unternehmen anwendbar, die mehr als fünf Penetrationstests im Jahr durchführen lassen wollen. Ob die Tests von internen, externen oder gemischt arbeitenden Teams durchgeführt werden, spielt dabei nur eine untergeordnete Rolle. Sofern externe Dienstleister eingebunden werden sollen, steht zu Beginn die Auswahl entsprechender Unternehmen an. Die Recherche nach "Penetrationstests Anbieter" oder vergleichbaren Suchbegriffen liefert hunderte von Unternehmen, die "Penetrationstests" anbieten. Da der Begriff selbst weder allgemeingültig definiert noch in irgendeiner Form geschützt ist, kann jeder damit werben, Penetrationstests anzubieten. Die Bandbreite der Anbieter reicht dabei von Studenten mit eigener GbR über kleine Systemhäuser bis hin zu großen Wirtschaftsprüfungsgesellschaften und Anbietern, die sich größtenteils oder vollständig dem Thema verschrieben haben.

Welcher Anbieter geeignet ist, lässt sich an verschiedenen Kriterien ablesen: Zum Einen sollte ein Anbieter in der Lage sein, zumindest in vertraulichen Angebotssituationen über Referenzen Auskunft zu geben. Die Referenzen sollten dabei vergleichbare Volumina haben. Ein weiterer Indikator für die Eignung sind Zertifizierungen des Unternehmens und der Mitarbeiter. Beim Unternehmen sollte zumindest Wert darauf gelegt werden, dass ein Informationssicherheitsmanagementsystem auf Basis eines etablierten Standards wie ISO 27001 etabliert und idealerweise zertifiziert ist.

Die Prüfungen werden durch Einzelpersonen oder Teams durchgeführt. Entscheidend für die Qualität der Prüfungen ist neben einem Prüf- und Qualitätssicherungsprozess im Unternehmen die Expertise des jeweiligen Prüfers. Daher sollte das mögliche Prüfteam vorab mit der Darstellung der jeweiligen Expertise bekannt sein. Ein wichtiges Kriterium für die Eignung ist die Prüfpraxis. Zertifizierungen sind auch ein Indikator. Es lohnt sich hierbei, die Anforderungen für die Zertifizierungen zu prüfen. Nicht überall wo Begriffe wie "certified" oder noch besser "Hacker" vorkommen, steckt auch ein hoher Anspruch dahinter. Anspruchsvoller sind zum Beispiel der Offensive Security Certified Professional (OSCP) oder die Eignungsprüfung zum vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Penetrationstester.

Je nach Einkaufsprozess ist es sehr wichtig, Qualitätskriterien als Gewichtungsfaktor für die Ausschreibung festzulegen. Innerhalb des Marktes gibt es erhebliche Qualitätsunterschiede bei den Anbietern. Diese zeigen sich auch im Tagessatz. Ist alleinig dieser ausschlaggebend, ist selten ein qualitativ hochwertiger Anbieter im Spiel.

Ein selten genutztes Instrument, welches jedoch grundsätzlich bei jeder Ausschreibung empfehlenswert ist: Referenzprüfung durch einen kurzen Telefonanruf. Es ist immer wieder erstaunlich, wie offen über Projekterfahrungen berichtet wird. Die Erfahrungswerte mit dem Anbieter durch einen seiner Kunden sind für die Einschätzung der Qualität und der Professionalität im Ablauf viel wert. Insbesondere bei kleineren Prüfunternehmen ist die Projektorganisation häufig nicht standardisiert. Um mit den organisatorischen Herausforderungen in der Umsetzung der Prüfungen zurechtzukommen, sollten jedoch ein klares Projektmanagement und strukturierte Vorgehensweisen für die einzelnen Prüffelder vorhanden sein. Auch dies ist ein Qualitätskriterium.

Für die Abwicklung empfiehlt es sich, mit einem oder mehreren Anbietern einen Rahmenvertrag zu schließen. Dabei sollte im Rahmenvertrag festgelegt sein, wie es zu Einzelaufträgen kommt. Der Prozess von Anforderung zum Auftrag muss dabei so schlank wie möglich gestaltet sein. In der Praxis gibt es immer wieder Tests, die sehr schnell nach Anforderung durchgeführt werden müssen. Das Durchlaufen des vollständigen Einkaufsprozesses für Einzelaufträge ist den zeitlichen Herausforderungen häufig nicht gewachsen.

Organisation

Im Fokus von Penetrationstests können unterschiedliche Ziele und je Ziel unterschiedliche Methoden stehen. Zur sprachlichen Vereinfachung wird im Folgenden stets von Anwendungen gesprochen. Die Vorgehensweisen lassen sich selbstverständlich auch auf System- oder Infrastrukturprüfungen anwenden. Ebenfalls zur Vereinfachung wird von "Projekten" gesprochen, auch wenn der Prüfungsbedarf aus Prozessen entspringt.

Die folgenden Darstellungen sind selbstverständlich idealisiert. Stolpersteine und Lösungen sind dargestellt, können jedoch nicht die Realität der Herausforderungen aller Projekte abdecken.

Zeitplanung

Innerhalb des Unternehmens muss es klare Koordinatoren für die Prüfungen geben. Diese Koordinatoren legen einen Jahresplan mit definierten Prüfzeiträumen fest. Diese Prüfzeiträume werden mit den Dienstleistern vereinbart und intern kommuniziert. In der Planungsphase können sich nun die Projekte mit ihren Anforderungen melden.

Die einzelnen Prüfungen können priorisiert nach Kritikalität bzw. Dringlichkeit auf die Prüfzeiträume verteilt werden. Diese Planungen werden intern unbedingt als verbindlich kommuniziert. Selbstverständlich gibt es in der Praxis immer wieder Verschiebungen. Dennoch sollte allen Beteiligten klar sein, dass Verschiebungen stets einen organisatorischen Überhang verursachen, der weder in der zeitlichen Planung noch im Aufwand vorab reflektiert sein kann. Welchen Anteil das Projektmanagement innerhalb der Prüfungen einnimmt, ist entscheidend davon beeinflusst, ob sich alle Parteien an zeitliche Absprachen halten oder nicht. Das Ziel sollte natürlich sein, möglichst viele Prüfungen innerhalb des Aufwands durchzuführen und nicht mit Überhang durch Projektveränderungen aufzubrauchen.

Bei Entwicklungsprojekten kommt es gerne zur Verzögerungen, die sich auf die Testfähigkeit auswirken. Sofern möglich, sollten "Springerprüfungen" existieren, bei denen die Projekte vorab flexible Testfähigkeit und geringen Vorlauf signalisiert haben. So können kurzfristig frei werdende Testslots belegt werden, ohne dabei die Abläufe zu sehr ins Stocken zu bringen.

Mit einem zeitlichen Vorlauf von 4-6 Wochen vor der Prüfdurchführung sollte ein Kick-off mit den verantwortlichen Personen veranstaltet werden. Dies sind der Projektkoordinator, Administratoren, Entwickler und die jeweils fachlich zuständigen Mitarbeiter. Von Seiten des Prüfunternehmens genügt im Regelfall der jeweilige Projektleiter. Dieser muss in der Lage sein, alle notwendigen Informationen abzufragen und aufzunehmen, um daraus einen Leistungsschein und einen Projektplan zu erstellen. Im Leistungsschein ist der Prüfungsumfang definiert.

Penetrationstests sind keine deterministische Prüfung. Wie lange eine Prüfung dauert, ist im Vorfeld nicht abschließend einschätzbar. So gibt es viele Faktoren, die einen Test beeinflussen, die vor Prüfbeginn nicht feststehen können. Dazu zählen zum Beispiel das Antwortzeitverhalten der Anwendung, Ausfälle der Zielumgebung und nicht zuletzt die Anzahl der Schwachstellen. Innerhalb eines Prüfzeitraums ist die Dokumentation zu erstellen. Je mehr Schwachstellen gefunden werden, desto mehr Dokumentation ist zu erstellen. Das Verhältnis zwischen Prüfung und Dokumentation innerhalb eines festen Projektaufwands kann damit prinzipbedingt bei keinem Penetrationstest vorab feststehen. Die Aussagekraft der Ergebnisberichte ist dennoch valide. Werden in einer Anwendung innerhalb eines kurzen Prüfzeitraums viele Schwachstellen festgestellt, wird für die Prüfungen weniger Prüfzeit genutzt im Vergleich zu resilienten Anwendungen. Hier kann mehr und damit tiefer geprüft werden, weil der Dokumentationsaufwand gering ist. Penetrationstests sind daher stets "Time-Boxed"-Prüfungen: Ein Experte führt mit einem definierten Kenntnisstand eine Prüfung gegen ein definiertes Prüfziel in einem vereinbarten Zeitraum durch.

Die Einschätzung einer angemessenen Prüfzeit sollte aufgrund der Erfahrungen des Prüfers in Absprache mit dem Dienstleister erfolgen. Der Penetrationstester stellt in Folge einen entsprechenden Projektplan in dem Prüfzeiten, Vor-Ort-Termine, Dokumentationszeiträume, Zeiträume für Qualitätssicherung, Übergabetermine für Berichte und Abschlussbesprechungen festgelegt sind.

Da der Prüfzeitraum und die Ziele feststehen, sollte der Dienstleister unbedingt auch die designierten Tester im Leistungsschein beschreiben. Wie bereits ausgeführt wurde, ist die Qualität einer Prüfung stark personenabhängig.

Festlegen des Prüfziels

Die meisten Prüfungen werden nicht gegen isolierte Ziele durchgeführt, sondern gegen stark vernetzte Umgebungen. Dabei gibt es sowohl Eingangs-, als auch Ausgangsschnittstellen für Daten. Diese sind ein wichtiger Ansatzpunkt für den Penetrationstest. Ein großes Risiko besteht in der Verarbeitung fehlerhafter Daten. Hier sollte jede Anwendung selbst "verantwortlich" für die korrekte Verarbeitung sein. Daher sollten bei Prüfungen die Dateneingangsschnittstellen im Fokus stehen und nicht die Datenausgangsschnittstellen. Die Datenausgangsschnittstellen ihrerseits sind stets Dateneingangsschnittstellen anderer Anwendungen. Damit werden diese in entsprechenden Projekten der anderen Anwendungen geprüft.

Ressourcen für die Tester

Bei Prüfungen über das Internet ist der Prüfer selbst für seine Ressourcenplanung zuständig. Bei Vor-Ort-Prüfungen sind je nach Kunde die Anforderungen sehr unterschiedlich. Es ist dringend zu empfehlen, dass die Prüfer ihre eigenen Prüfgeräte einsetzen dürfen. Sofern durch den Kunden beispielsweise Basissysteme zur Verfügung gestellt werden, auf die die Prüfer virtuelle Testmaschinen kopieren können, wird entsprechend Projektzeit für die Rüstzeit des Prüfers aufgebraucht. Darüber hinaus gibt es bei verschiedenen Testwerkzeugen Lizenzprobleme beim Übertragen auf Fremdsysteme. Manche Lizenzvorgaben verhindern dies gar vollständig. In einigen Fällen sind die vom Kunden bereitgestellten Prüfsysteme nicht mit dem Internet verbunden. Damit lassen sich gegebenenfalls Prüfwerkzeuge nicht aktivieren, was bei einigen Tools leider mittlerweile notwendig geworden ist.

Wenn ausreichend Kaffee bereitgestellt werden kann, steht den Tests nichts mehr im Wege.

Es ist also grundsätzlich möglich, vom Kunden bereitgestellte Systeme zu verwenden, effizient ist es jedoch nicht. Auf keinen Fall sollte der Kunde die Testumgebungen vollständig selbst bereitstellen wollen. Welche Werkzeuge zum Einsatz kommen, muss der Tester entscheiden. Er muss die Prüfwerkzeuge schließlich aus dem Effeff beherrschen. Darüber hinaus existieren in Prüfunternehmen oft auch Frameworks für die effiziente Verknüpfung von Werkzeugen und Standardisierung im Berichtswesen. Diese Projektbeschleuniger können dann nicht eingesetzt werden.

Auch wenn es banal klingt: Tester benötigen Zutritt, einen Schreibtisch mit Stuhl, Strom und einen Netzwerkanschluss mit Berechtigung im Netzwerk, um die Prüfziele zu erreichen. Wenn nun noch ausreichend Kaffee bereitgestellt werden kann, steht den Tests nichts mehr im Wege. Umgekehrt muss der Dienstleister im Vorfeld der Vor-Ort-Prüfungen die Personen und nicht zuletzt die Anzahl der Kollegen benennen. Wenn der Kunde von zwei Prüfern ausgeht und der Dienstleister mit vier Penetrationstestern zum Testen antritt, gibt es meist ein Ressourcenproblem.

Für den Testzeitraum ist es empfehlenswert, dass die Prüfer selbständig auch das Gebäude betreten und verlassen können. Selbst wenn es nur am Morgen und am Abend einer Begleitung bedarf, summiert sich hier auch Projektzeit, insbesondere wenn unterschiedliche Prüfer zu unterschiedlichen Zeiten kommen. Sofern organisatorisch möglich, sollten die Prüfer zu Projektbeginn Zutrittsmittel erhalten, auch wenn der organisatorische Aufwand für die Erstellung von Ausweisen einmalig vergleichsweise hoch sein mag. Für den Gesamtablauf ist dies im Regelfall die effizientere Vorgehensweise.

Keine Helikopter

Selbstverständlich hat der Kunde berechtigtes Interesse über den Projektfortgang informiert zu werden. Spontane Statusabfragen reißen den Penetrationstester jedoch aus seiner Arbeit. Mehrfaches tägliches Berichten, am besten sogar schriftlich, ist meist nicht mit Erkenntnisgewinn verbunden und verbraucht natürlich auch Ressourcen. Ebenso sollte man vermeiden, in Projektzeiträumen zusätzlich weitere Aufgaben spontan einzuphasen. Beispielsweise spontane Kick-offs für den nächsten Testslot.

Am Ende eines Penetrationstests halten die Prüflinge im Regelfall ausschließlich den Abschlussbericht in den Händen. Dies ist die Basis für die Nachbereitung. Insofern ist anzuraten, dass für alle Prüfer Vorgaben existieren, wie Informationen für die Nachbereitung aufbereitet sein müssen. Hierzu hat jeder Kunde seine eigenen Prozesse. Hat er sie nicht, braucht er sie. Individuelle Nachverfolgung ist ein Ressorcenkiller ersten Ranges.
Technisch gesehen erfolgt die Nachverfolgung meist in Excel. In den Nachverfolgungstabellen der Schwachstellen sollten daher alle wichtigen Informationen, welche für die Nachverfolgung relevant sind, enthalten sein. Dazu gehören mindestens eine eindeutige ID der Schwachstelle, eine Kurzbeschreibung des Risikos, die Risikogewichtung, die durch das Projekt umzusetzen sind sowie Gegenmaßnahmen, ein Zieldatum für die Umsetzung und der Status der Umsetzung. Die Tabellen müssen für alle Prüfungen durch alle Prüfer genutzt werden.

Der Abschlussbericht hingegen wird im Regelfall einmalig für das Verständnis der Schwachstellen und natürlich zur Dokumentation der Prüfungen selbst genutzt. Nach Füllen der Nachverfolgungstabelle wird der Abschlussbericht in seltenen Fällen erneut relevant. Selbstverständlich ist es auch hier jedem Tester möglich, sich an klare Vorgaben durch den Kunden zu halten. Je mehr jedoch vom Standard des Prüfers abgewichen wird, umso höher ist der Aufwand. Die Standards der Prüfer entspringen häufig jahrzehntelanger Erfahrung bei Penetrationstests. Damit haben sie häufig eine hohe Qualität in der Struktur.

Sofern mehr als ein Dienstleister bei den Prüfungen beteiligt ist oder im Haus bereits ein Standard etabliert wurde, muss die Bewertungsmetrik für die Schwachstellen vorgegeben sein. In den meisten Fällen wird CVSS Version 3 verwendet.

Zusammenfassend kann man zu den Abläufen festhalten: So kundenindividuell vorgegeben wie nötig, so stark an den Standards der Tester orientiert wie möglich.

Nach der Prüfung...

Auf Kundenseite sind Zeit und Ressourcen für die Nachbereitung der Prüfergebnisse vorzusehen. Nicht selten dauert es in der Praxis Wochen, bis Prüfberichte abgenommen worden sind. Im Idealfall wird diese Phase bereits im Projektplan berücksichtigt. In vielen Projekten haben sich die Übergabe eines Ergebnisberichts zu einem definierten Zeitpunkt und eine formale vorab terminierte Abschlussbesprechung bewährt. In dieser Abschlussbesprechung können offene Fragen, selbst wenn vorab nicht kommuniziert, besprochen und oft direkt im Ergebnisdokument festgehalten werden. Nach der Besprechung hält man so Version 1.0 des Ergebnisberichts in Händen.

Wenig sinnvoll ist das Vorbereiten von Foliensätzen mit den Ergebnissen des Berichts. Für die Vorbereitung des Termins wird der Abschlussbericht von jedem genutzt. Die vom Bericht in die Präsentation kopierten Ergebnisse bieten keinen inhaltlichen Mehrwert, verursachen jedoch Aufwand. Natürlich kann man diese Bürodienste durch den Tester durchführen lassen, effizient ist dies jedoch nicht. Am Ergebnisbericht entlang die Prüfungen in der Besprechung vorzustellen, ist probat und bewährt. Zumal auch Änderungen am Bericht häufig Änderungen an konkreten Formulierungen bedeuten. Damit muss man auch nicht zwischen Präsentation und Bericht hin und her springen.

Es ist wichtig, nicht die Feststellungen der Prüfer verändern zu wollen - außer natürlich die Prüfer haben nachweisbar fehlerhaft geprüft bzw. berichtet. Abweichende Haltungen zwischen Prüfer und Prüfling zu Risiken sind normal. Die Außensicht divergiert gelegentlich von der Innensicht. Diese beiden Haltungen können problemlos im Ergebnisbericht festgehalten werden.

... ist vor der Prüfung

Prüfungen sollten für die gleichen Prüfprojekte regelmäßig durchgeführt werden. Um eine hohe Qualität der Ergebnisse zu gewährleisten und einer "Betriebsblindheit" des Prüfers entgegenzutreten, sollte der Prüfer bei einer neuerlichen Prüfung gegen einen anderen Penetrationstester getauscht werden. Bei einer erneuten Prüfung ist es empfehlenswert, den Abschlussbericht der letzten Prüfung ebenfalls vorzulegen. Damit können die Feststellungen aus dem bestehenden Bericht nochmals gezielt überprüft werden.

Fazit

Über die letzten Jahre ist die Anzahl der Penetrationstests in großen Unternehmen sprunghaft in die Höhe geschossen. Häufig hatten die koordinierenden Mitarbeiter keine Chance, die Prozesse für die Prüfdurchführung entsprechend mitwachsend zu designen. Damit die Prüfungen für alle Beteiligten effizient durchgeführt werden können und alle Beteiligten auch im Prozess mitgenommen werden, ist solides Projektmanagement ein Kernelement für den Erfolg. Etablierte Penetrationstester verfügen über hohe Expertise in ihren Prüfabläufen und dem Berichtswesen. Selbstverständlich müssen kundenindividuelle Vorgaben existieren, um eine Einheitlichkeit zu gewährleisten. Diese Vorgaben sollten sich jedoch auf das notwendige Minimum beschränken, um die Effizienz der bewährten Prüfmethoden der Penetrationstester zu nutzen.

Autor

Tobias Glemser

Tobias Glemser ist BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera GmbH.
>> Weiterlesen
Das könnte Sie auch interessieren
botMessage_toctoc_comments_9210